Por favor, use este identificador para citar o enlazar este ítem:
http://repositorio.uees.edu.ec/123456789/2525
Título : | PROPUESTA DE UNA METODOLOGÍA DE PRUEBAS DE PENETRACIÓN ORIENTADA A RIESGOS |
Autor : | Cevallos Gamboa, Antonio Alvarez Intriago, Vilma Karina |
Palabras clave : | Seguridad de la Información vulnerabilidad pruebas de penetración metodologías de auditoría riesgos. |
Fecha de publicación : | abr-2018 |
Resumen : | The security of information has become in most organizations an important and indispensable aspect for their operations. That is why today there are several methodologies that guide auditors to perform tests and apply metrics; in order to analyze controls and procedures that verify said security. The present investigation carries out a descriptive study, with a qualitative approach, of the OSSTMM, OWASP, PTES, ISSAF and CVSS methodologies in order to make a new proposal that compiles the best practices with both a technical and risk approach. For this, an exploration of all the characteristics of the aforementioned methodologies was carried out using bibliographic review, interviews and expert judgments; finding procedures and standards that guide the effective performance of penetration tests. As a result, a risk-oriented methodology proposal is obtained, which contains four stages: the first, regarding the agreement, scope, information gathering; the second to the execution, the third that deals with the risk assessment and the last one that contemplates the generation of reports. The same, is considered a contribution for the technological auditors since in addition to informing on technical aspects, it also does it, on approaches of risks prioritizing them through levels of incidence or of gravity on the objectives of the company. |
Descripción : | La seguridad de la información se ha convertido en la mayoría de las organizaciones un aspecto importante e indispensable para sus operaciones. Es por esto, que hoy en día existen diversas metodologías que guían a los auditores a realizar pruebas y aplicar métricas; con el fin de analizar controles y procedimientos que verifiquen mencionada seguridad. La presente investigación realiza un estudio descriptivo, con enfoque cualitativo, de las metodologías OSSTMM, OWASP, PTES, ISSAF y CVSS a fin de realizar una nueva propuesta que recopile las mejores prácticas tanto con enfoque técnico como de riesgos. Para esto se realizó una exploración de todas las características de las metodologías antes mencionadas utilizando revisión bibliográfica, entrevistas y juicios de expertos; encontrando procedimientos y estándares que guíen en la realización efectiva de pruebas de penetración. Como resultado se obtiene una propuesta de metodología orientada a riesgos, que contiene cuatro etapas: la primera, referente al acuerdo, alcance, recopilación de información; la segunda a la ejecución, la tercera que trata de la evaluación de riesgos y la última que contempla la generación de informes. La misma, se considera un aporte para los auditores tecnológicos ya que además de informar sobre aspectos técnicos, también lo hace, sobre enfoques de riesgos priorizándolos a través niveles de incidencia o de gravedad sobre los objetivos de la empresa. |
URI : | http://repositorio.uees.edu.ec/123456789/2525 |
Aparece en las colecciones: | POSTGRADO EN AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN |
Ficheros en este ítem:
Fichero | Descripción | Tamaño | Formato | |
---|---|---|---|---|
ALVAREZ INTRIAGO VILMA KARINA.pdf | 799.54 kB | Adobe PDF | Visualizar/Abrir |
Los ítems de DSpace están protegidos por copyright, con todos los derechos reservados, a menos que se indique lo contrario.